本文へ進みます

リスクマネジメント

ヤマハ発動機グループにおけるリスクマネジメント、クライシスマネジメントおよび事業継続についての取り組みを紹介します。

リスクマネジメント体制

リスクマネジメント体制として、「リスクマネジメント規程」に基づき、社長執行役員が委員長を務める「サステナビリティ委員会」、および下部組織としてリスクマネジメント統括部門とリスクの主管部門で構成される「サステナビリティ推進会議」の「リスク・コンプライアンス部会」を設置し、グループ全体のリスク状況をモニタリングすると同時に、重点的に取り組む「グループ重要リスク」の選定、対策活動のチェックなどを行い、グループ全体のリスク低減を図っています。「リスク・コンプライアンス部会」は事業ラインから独立し、人事総務本部長が責任者を務めています。

またリスクの主管部門は、主管リスクについて対応方針、規程等を定めるとともに、本社各部門およびグループ会社に対して対応方針等に基づく対策活動の推進、活動モニタリングなどを行います。その実効性を担保するため、統合監査部門はリスク主管部門に対して監査を実施しています。

リスクマネジメント体制

リスクマネジメント活動サイクル

リスクマネジメント活動は、以下のPDCAサイクルを回すことで推進しています。ヤマハ発動機グループでは、必要なリスクを網羅したリスク管理台帳を作成しており、リスク管理台帳を適切に管理・運用することにより、リスク低減を図っています。

PDCA

グループ重要リスク

毎年、リスクの中でも特に重点的に予防・対策に取り組むべきものをグループ重要リスクに定めています。グループ重要リスクは、グループ全体のリスク評価結果に加え、グループ事業戦略、グループ内外の法令変更、環境変化および発生事案情報などを踏まえ、総合的に判断・選定されます。

2024年度グループ重要リスク項目

2024年1月31日更新
リスク項目 背景 対策
サイバーセキュリティ サイバー攻撃の急速な高度化に伴い、従来のIT部門主導の施策に加え高度IT化された工場設備への対策など各部門との協業活動が一層求められております。
サイバー攻撃を受けた場合でも、サプライチェーンの継続など事業継続性を考慮した対応・復旧体制の構築など、全社レベルでの活動がより求められております。
グローバル標準のサイバーセキュリティフレームワークに準拠したサイバーセキュリティ方針に基きハード・ソフト両面で対策を行います。この対策により高度化された攻撃に対する防衛力を高めてまいります。
万が一攻撃にあった時にも早期にこれを検出し被害を最小化する対策を織り込んでいきます。
人権侵害 近年におけるビジネスと人権に関する社会的要請・遵守の高まりにならって、特に当社グループのサプライチェーンにおける人権対応を強化する必要があることから選定しています。 ヤマハ発動機グループ人権方針を策定し、当社グループの人権尊重への考え方を明確化すると共に、当社グループのサプライチェーンにおける人権への負の影響を特定、回避、緩和するための人権デュー・ディリジェンスを実施し、全取引先/サプライヤーの人権遵守への契約書/覚書取得、人権への負の影響対応の苦情処理メカニズムの整備等の活動を進めております。
また、2024年に人権デュー・デリジェンスに基づいた実地調査を計画しています。
ハラスメント ハラスメントに対する社会的な関心の高まりや、パワハラ防止法の中小企業への適用拡大を背景に、当社グループにおいてもハラスメントリスク低減活動を強化する必要があることから選定しています。 ハラスメントを防止するための啓発、事案発生時の迅速・適切な対応、再発防止について見直し、効果的なリスク低減活動に取り組みます。
2023年より実施している研修の全社展開を進めるとともに、グループ会社の低減活動のサポートも継続していきます。
製品品質に関する法令違反 製品品質に関する法令遵守は、お客様、地域社会の信頼に直結しており、厳格な管理がますます要請されています。また、世の中のCASE関連製品・サービスの普及・多様化や、循環型社会実現に合わせた新たな法規の制定と各国への拡大が予想されています。
その変化に遅れることなく、全社で確実に対応することが必要であることから選定しています。
製品品質に関する法規対応が確実に取られるよう、法規情報の収集と展開、法規要件の織込み確認、等の活動に取組みます。また、新規事業に対して戦略的な法規活動を行います。
同時に、ISO9001に準拠したヤマハ発動機グループ品質保証規程の展開と併せ、2022年に発足したコーポレート法規管理部門を全社活動のハブとして、各事業の法規管理プロセスの基盤強化を行います。
設備機械等による業務中の
死亡・重傷事案
ヤマハ発動機にて2023年上期に設備機械による重大な労働災害事故が発生しました。事業活動を行う上で、当社グループでは数多くの設備機械が使用されています。このような重大な労働災害を二度と発生させることがないよう、グループをあげて労働安全衛生のレベルを高める必要があることから選定しています。 グループ全体に安全最優先の文化を醸成し、労働災害ゼロに向けた取り組みを継続的に推進するため、グループ方針・目標の策定、ガバナンス体制の整備等を行います。
労働安全衛生マネジメントシステムの整備・運用により、リスクの除去・低減に徹底して取り組み、労働災害発生のリスクを最小化します。
サプライチェーンの途絶 近年の調達環境において、半導体供給不足は解消しつつあるものの、地政学リスク・自然災害等の各国特有リスクが存在し、サプライチェーン途絶リスクは増大しております。
またプラットフォーム戦略に基づき、特定の部品・取引先が各国の生産モデルに紐づいているため、平時からグローバルでレジリエンスを強化する活動がグローバルで求められております。
全社でBCP優先事業・優先モデルを決定し、MCはNMAX・マリンは大型船外機とJet Pumpに対象を絞ってリスク低減活動を着手しました。
地政学リスクに対しては、短期的には在庫の積み増し、中⻑期的には代替先の織り込みを進めます。
各国特有リスクに対しては、リスクを特定した上で初動体制を構築しグローバルで監視・連携を推進します。
機密情報の漏洩 機密情報の漏洩に関しては、従来からリスク低減の活動を続けておりますが、当社の取り扱う機微な技術情報に関して、経済安全保障の観点から懸念が高まりつつあり、全社レベルでの活動がより一層求められているため選定しています。 機密情報グループ業務指針をグローバル展開し、グループ会社における機密情報管理活動を推進します。
主管部門は体制を強化し、全社関係部門および国内外のグループ会社と連携を図り、ヤマハ発動機グループの機微な技術情報を中心に機密情報管理状況を調査、監督の上、情報漏洩リスク低減に向けた支援を行います。

クライシスマネジメントの体制と活動

ヤマハ発動機グループは、「緊急時初動対応規程」に基づき、事案発生時にその被害の最小化と早期収束を図っています。

グループで災害、事故またはコンプライアンス事案などが発生した場合、当該部門はあらかじめ定められたレベル判断基準に従って、ヤマハ発動機のリスクマネジメント統括部門またはリスク主管部門への報告を行います。報告された事案がグループ経営にかかわる、または複数の部門・会社がかかわるような重大な内容であった場合は、リスクマネジメント統括部門は、あらかじめ定められた対応チームを招集し、社長を長とする緊急対策本部等を設置し、事案に係る状況の把握、暫定対応を図ると同時に、必要に応じてお客さまおよび関係機関への報告を速やかに行います。

BCP(事業継続計画)の策定

想定されるリスクの中でも特に事業継続に影響を与えることが予想されるものへの備えとして、当社は「事業継続規程」を定め、対応に取り組んでいます。

当社はその主要拠点が静岡県に集中しており、南海トラフ巨大地震の影響が想定されます。

この備えとして、行政機関による被害想定を基に建物・設備などの耐震対策、津波への対応、水・食糧などの備蓄、緊急通信手段の整備、近隣グループ会社を含む全社一斉の避難訓練(一部の部門は夜間訓練を含む)の定期実施、安否確認訓練の定期実施、事業所別の初動対応訓練の実施といった防災・減災への取り組みを行っていますが、それに加え、従業員の生命・安全を最優先としつつも事業継続を確実にする目的で、BCPを作成しています。

当社の優先事業を選定し、復旧に向けたボトルネックの洗い出しとその対策、復旧対応手順の明確化と対応要員の事前選定、サプライチェーンの情報収集体制の構築など、ハード・ソフト両面に係る対策を網羅的、継続的に実施しています。

また、パンデミックに対しても、グループ各社が感染防止対策や事業継続上の課題を洗い出し、対応する計画を策定しています。

新型コロナウイルス感染症に対しても、「事業継続要領(新型インフルエンザ編)」に沿って対応し、社長が本部長を務める新型肺炎対策本部を設置し、情報の収集や対応方針の決定、情報発信を実施しました。また、将来的に発生しうる新たな感染症に備え、新型コロナウイルス感染症対策で得られた知識や経験を活かし継続的な取り組みを進めています。

サイバーセキュリティの取り組み

ヤマハ発動機グループでは、お客さまにご利用いただく製品やサービスおよび個人情報や機密情報など、情報資産の保護を目的とした「サイバーセキュリティ方針」を定めて対策に取り組んでいます。

具体的には、マルウェアや脆弱性への対応などの基礎的な対策に加えて、SOC(Security Operation Center)による監視や、CSIRT(Computer Security Incident Response Team)による対処態勢を整えて不測の事態に備えています。また、教育による社員のサイバーセキュリティ・リテラシー向上や、アセスメントによるグループ各社の状況把握と改善計画の策定等、継続的にサイバーリスクの低減に努めています。

なお、製品のセキュリティについては日米のAuto-ISAC*に加盟し、サプライチェーンを含め発生した事案や最新のセキュリティ情報の収集を把握することで自社のPSIRT(Product Security Incident Response Team)による対応に活かしています。

2023年度は、フィリピンにおける二輪車製造・販売子会社において不正アクセスおよびランサムウエア攻撃と情報流出を確認しています。2023年11月時点で影響は子会社が管理する一部のサーバーでとどまり、本社を含めたグループへの影響はないことを確認しています。

*Auto-ISAC(Automotive Information Sharing & Analysis Center) 自動車情報共有・分析センター

情報管理の取り組み

ヤマハ発動機グループでは2013年にグループ業務指針を制定し、機密管理・文書管理・個人情報保護・開示情報管理など情報管理全般におけるグループ全体の方針を決定し、活動を進めてきました。情報通信技術の発達やビッグデータの利活用の拡大に伴い、2018年の欧州の個人情報保護法施行をきっかけに、各国で個人情報保護に関する厳格な法令が制定されつつあることから、2020年に情報管理グループ業務指針を改定し、個人情報保護体制の整備や、個人情報の取扱い(取得における通知・同意の取得、安全管理措置、本人の権利に関する請求への対応、漏えい時の対応など)に関するルールを定め、各国グループ会社とヤマハ発動機が協力してグローバルに対応を進めています。

また、同年「ヤマハ発動機グループプライバシーポリシー」を改定し、各国における個人情報保護に関する法令遵守を掲げています。 その他、個人情報保護を含む情報管理全般に関して、毎年グループ内における取扱い状況のモニタリングおよびそれに基づく助言を実施するとともに、集団研修やe-ラーニングなどの教育・啓発活動を行うことを通じて、情報の適切な取扱いを徹底しています。

個人情報に関する漏洩(恐れを含む)を認識した場合、迅速に必要な調査を実施し、適用される法令等に基づき監督機関への報告および本人への通知等の必要な措置を取るとともに、関連規程に基づき懲戒処分その他の厳正な措置を講じます。

なお、2023年度は、個人情報保護に関連した重大な法令違反や罰金・課徴金等はありませんでした。

ページ
先頭へ